Tudo sobre o grupo de crimes cibernéticos Elephant Beetle

Tudo sobre o grupo de crimes cibernéticos Elephant Beetle

Você já ouviu falar no Elephant Beetle? Trata-se de um grupo sofisticado especializado em roubar dinheiro de empresas financeiras e comerciais por um longo período de tempo, sem ser detectado.

Elephant Beetle

Pesquisadores alertam que o grupo de cibercriminosos Elephant Beetle roubou milhões de dólares de organizações financeiras e comerciais no ano passado. Eles fizeram isso invadindo redes por meio de aplicativos Java legados e, em seguida, se escondendo para aprender processos financeiros internos. O grupo, que pesquisadores da empresa de resposta a incidentes Sygnia apelidaram de Elephant Beetle, usa uma grande coleção de ferramentas personalizadas e de código aberto em suas operações. Ou seja, inclui backdoors Java, e é bom em se misturar com o ambiente do alvo e os fluxos de tráfego de rede permanecer sem ser detectado por meses.

Seu comportamento lembra grupos como o Carbanak, que roubaram centenas de milhões de dólares de instituições financeiras, incluindo bancos centrais. Embora a seleção de alvos do Elephant Beetle pareça favorecer a América Latina, atingiu as filiais locais de empresas internacionais e suas atividades podem facilmente se expandir para outras regiões no futuro.

Infiltração inicial e movimento lateral

Os métodos de infiltração do grupo não são sofisticados, pois não usam exploits de dia zero. no entanto, ao invés disso, ele tem como alvo aplicativos Java e servidores da Web legados e sem patches. Principalmente WebSphere e WebLogic, que são expostos à internet.

De acordo com Sygnia, o grupo tem usado explorações de execução remota de código (RCE) mais antigas: 

  • Primefaces Application Expression Language Injection (CVE-2017-1000486);
  • WebSphere Application Server SOAP Deserialization Exploit (CVE-2015-7450);
  • SAP NetWeaver Invoker Servlet Exploit (CVE-2010-5326);
  • Execução remota de código SAP NetWeaver ConfigServlet (EDB-ID-24963).

Assim que obtêm acesso aos servidores, os invasores implantam um script de shell da Web por meio do qual podem executar vários comandos no servidor. O grupo tem usado web shells personalizados e prontos para uso, incluindo JspSpy, reGeorge, MiniWebCmdShell e Vonloesch Jsp File Browser. Esses web shells são implantados nas pastas de recursos de aplicativos existentes e imitam os nomes dos arquivos de recursos existentes, como CSS, imagens, fontes e scripts JavaScript.

Não obstante, além das explorações, o grupo também tenta acessar interfaces de gerenciamento da web, como myWebMethods (WMS) e QLogic, usando credenciais padrão. Então, depois de obter acesso ao servidor por meio de um shell da Web, eles começarão a pesquisar dentro de scripts e arquivos de configuração por credenciais armazenadas adicionais. Por exemplo, o WebSphere armazena credenciais de administrador em server.xml em formato codificado com XOR que são fáceis de decodificar.

Se eles obtiverem credenciais adicionais para as ferramentas de gerenciamento do servidor, os invasores as usarão para implantar seu próprio aplicativo Java na forma de um arquivo WAR ou colocá-lo em pastas de implantação automática. Ou seja, este aplicativo é uma coleção de web shells e outras ferramentas, como scanners de rede baseados em Java.

Cuidado com o backdoor

Contudo, outra técnica observada foi a injeção de código de backdoor malicioso em páginas da Web padrão, como iisstart.aspx ou default.aspx em servidores da Web IIS. Afinal, o acesso a essas páginas geralmente não é bloqueado ou restrito por regras de firewall da web e elas podem ser acessadas pela internet. Entretanto, os invasores Elephant Beetle também baixam o código-fonte dos aplicativos presentes no servidor, possivelmente para encontrar eventuais pontos fracos.

“Este ato, combinado com as varreduras do grupo de ameaças para interfaces da Web proprietárias específicas, indica que eles têm amplo conhecimento e compreensão no campo de pen testing”, disseram os pesquisadores da Sygnia em seu relatório.

O grupo tem usado uma variedade de ferramentas de varredura de portas e outras ferramentas de impressão digital para encontrar sistemas e ativos adicionais que possam atacar após a invasão inicial. Isso inclui um scanner TLS, um script em lote para enumerar compartilhamentos abertos em máquinas em um ambiente de domínio Windows e um script desenvolvido pela Microsoft para localizar nomes principais de serviço no domínio.

“O grupo de ameaças se move lateralmente dentro da rede. Principalmente por meio de servidores de aplicativos da Web e servidores SQL, aproveitando técnicas conhecidas como APIs do Windows (SMB/WMI) e ‘xp_cmdshell’, combinadas com backdoors voláteis de execução remota personalizados”, disseram os pesquisadores.

Portanto, é seguro dizer que o Elephant Beetle tem usado ferramentas de backdoor e encapsulamento de tráfego escritas em Java, PowerShell e Perl. No total, o Elephant Beetle foi observado usando mais de 80 ferramentas e scripts diferentes durante suas operações.

Riscos do MS-SQL

No entanto, os servidores MS-SQL parecem ser o alvo favorito após o comprometimento inicial dos servidores web. Os invasores tentarão acessar os servidores de banco de dados SQL usando credenciais encontradas em aplicativos da Web e criarão contas administrativas.

O RCE em máquinas Windows é feito via Windows Management Instrumentation (WMI) e SMB usando scripts como Invoke-SMBExec.ps1 — parte da estrutura de exploração Empire — e WmiExec.vbs. Saídas de comando e arquivos extraídos de servidores internos com esses comandos remotos são retransmitidos para sistemas já comprometidos por meio de proxy ou ferramentas de encapsulamento. Então, são armazenados em pastas acessíveis pela internet para exfiltração.

Os invasores realizam suas operações em máquinas comprometidas a partir de pastas temporárias do sistema para evitar deixar rastros em locais permanentes. Contudo, os arquivos maliciosos têm o nome da empresa vítima ou dos aplicativos que a empresa usa para dificultar a detecção. Portanto, quando as ferramentas são carregadas inicialmente, elas podem ser ofuscadas em Base64 e, em seguida, são decodificadas usando ferramentas do sistema, como Certutil.exe.

Para coletar credenciais, o grupo despeja a memória do processo LSASS.exe com ferramentas como PWdump7, Out-Minidump.ps1 ou a ferramenta ProcDump. Entretanto, eles também extraem os hives de registro SAM e SYSTEM e coletam o arquivo NTDS.DIT ​​dos controladores de domínio e o descriptografam.

O escalonamento de privilégios é obtido com o carregamento lateral de DLL, por exemplo, com o carregamento lateral httpodbc.dll em servidores IIS antigos ou com ferramentas como o incógnito v2 para manipulação e representação de token.

Reconhecimento de meses e roubo de dinheiro

Uma vez que o Elephant Beetle entra em uma rede, ele passa as primeiras semanas a um mês para realizar movimentos laterais e personalizar seus backdoors para o ambiente do alvo. Então, isso é seguido por vários meses de invasores apenas se misturando em segundo plano e estudando pacientemente as operações financeiras da vítima. Ou seja, o software, a infraestrutura e os processos que eles usam para realizar transações legítimas.

Depois que todos os fluxos de trabalho são entendidos e o acesso necessário é obtido, o grupo começa a injetar transações fraudulentas para pequenas quantias de dinheiro que provavelmente passarão despercebidas. Eles imitam o comportamento de transações legítimas e o objetivo é empilhar o maior número possível de transações ao longo do tempo, ao invés de roubar muito dinheiro de uma só vez. Afinal, ao usar essa técnica, os invasores podem desviar milhões de dólares ao longo do tempo sem serem detectados.

Esse é um comportamento diferente do de grupos como Carbanak. Afinal, estes também levam muito tempo para preparar seu terreno dentro de uma rede comprometida e estudar processos financeiros por meses. Contudo, depois realizam um ataque único e bem preparado que resulta no roubo de dezenas de milhões de dólares do alvo. Enquanto grupos como Carbanak sabem que serão descobertos assim que apertarem o gatilho de um grande ataque, os atacantes do Elephant Beetle esperam que eles permaneçam indetectados por longos períodos de tempo.

Modo de ação

“Se durante seus esforços qualquer atividade fraudulenta for descoberta e bloqueada, eles simplesmente ficam quietos por alguns meses. Tudo apenas para retornar e atacar um sistema diferente”, disseram os pesquisadores da Sygnia.

Sendo assim, não está claro de onde são os atacantes do Elephant Beetle, mas as cordas encontradas em suas ferramentas sugerem que eles são falantes de espanhol, então a América Latina é uma forte possibilidade. Isso também pode explicar seu foco atual em alvos na região. Não obstante, vários de seus servidores de comando e controle estão hospedados no México. Também há semelhanças com um grupo que a Mandiant rastreia como FIN13, que está ativo desde pelo menos 2017 e tem como alvo organizações no México.

“​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​Os pesquisadores afirmam que o Elephant Beetle parece se concentrar principalmente nos alvos latino-americanos. No entanto, isso não significa que as organizações que não estão sediadas lá sejam seguras. Por exemplo, uma equipe de RI descobriu que as operações latino-americanas de uma empresa dos EUA foram violadas. Portanto, as organizações regionais e globais devem estar em guarda.”

Detectando ataques de Elephant Beetle 

A detecção de intrusões furtivas e de longo prazo, como as realizadas pelo Elephant Beetle, geralmente requer uma caça ativa de ameaças internas. O relatório Sygnia contém IOCs e TTPs baseados na estrutura MITRE ATT&CK. As recomendações da empresa incluem:

  • Mantenha aplicativos e sistemas operacionais atualizados, especialmente em servidores voltados para a Internet;
  • Evite usar credenciais de texto simples em scripts;
  • Não use a mesma senha para interfaces administrativas diferentes em servidores diferentes;
  • Evite usar o procedimento xp_cmdshell e desative-o em servidores MS-SQL. Monitore as alterações de configuração e o uso do xp_cmdshell;
  • Monitore as implantações de WAR e valide se a funcionalidade de implantação de pacotes está incluída na política de log dos aplicativos relevantes;
  • Procure e monitore a presença e a criação de arquivos .class suspeitos nas pastas temporárias dos aplicativos WebSphere;
  • Identifique e acompanhe a presença e a criação de páginas da Web em pastas de recursos estáticos de aplicativos da Web;
  • Monitore os processos que foram executados por processos de serviços pai do servidor Web (ou seja, w3wp.exe, tomcat6.exe). Também há processos relacionados ao banco de dados (ou seja, sqlservr.exe). Processos como cmd.exe, powershell.exe, wmic.exe e outros executáveis ​​relacionados à execução de código são altamente suspeitos;
  • Implemente e verifique a segregação entre DMZ e servidor interno. Afinal, o monitoramento próximo e o controle de acesso nessas regiões são importantes para atrasar/impedir que os agentes mal-intencionados avancem após comprometer um servidor web.

 

Facebook
Twitter
LinkedIn

posts relacionados

Perguntas
frequentes

Nós falamos com o seu fornecedor atual e colhemos todas as informações necessárias diretamente com eles. Também podemos fazer o mapeamento de todas as informações diretamente na sua empresa.

SIM, é possível melhorar a qualidade e o desempenho e ainda reduzir custos. Essa eficiência é possível graças ao sistema de melhoria contínua que aplicamos há anos.

SIM, o time interno pode ser absorvido, com os profissionais se tornando colaboradores da Infonova.

SIM. Em conjunto com seu departamento, ou consultoria jurídica, ajudamos a implantar as ações de TI necessárias para adequação da LGPD.

A transição pode ocorrer com ou sem o apoio do fornecedor atual. A Infonova vai mapear todas as informações, identificar os itens críticos e realizar a transição de forma segura, sempre em alinhamento com o cliente.

Em geral é rápida. O tempo exato depende de cada situação. O prazo mais comum de transição em paralelo é entre 1 semana e 15 dias.

NÃO. Temos soluções para empresas de 10 a 2.500 colaboradores. Desenvolvemos uma metodologia para atender empresas em diversos segmentos, em situações de crescimento ou retenção.

Temos diversas soluções para proteger o acesso de usuários que ficam externos ou em home office.

SIM, trabalhamos com os principais provedores de nuvem e possuímos um datacenter próprio.

Já vai?

Receba conteúdos exclusivos e gratuitos direto no seu e-mail, para ler sem pressa ;)

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

FALE
COM UM
ESPECIALISTA